Hoppa till innehåll på sidan

Gränsöverskridande personuppgifts­behandling

Företag har ofta verksamhet i flera länder och personuppgifter stannar inte alltid i ett land. En personuppgiftsbehandling som har anknytning till mer än ett land inom EU kallas för en gränsöverskridande personuppgiftsbehandling.

Om ni som personuppgiftsansvariga eller personuppgiftsbiträden behandlar personuppgifter i flera länder inom EU behöver ni veta vilken tillsynsmyndighet ni ska ha kontakt med. Som utgångspunkt ska ni nämligen bara behöva vända er till en tillsynsmyndighet, er så kallade ansvariga tillsynsmyndighet, exempelvis om ni ska anmäla en personuppgiftsincident som har anknytning till flera länder inom EU.

Den registrerade kan välja vilket lands tillsynsmyndighet hen vill vända sig till.

En gränsöverskridande personuppgiftsbehandling har anknytning till fler än en medlemsstat, för att ni som personuppgiftsansvarig eller personuppgiftsbiträde gör något av följande:

  • behandlar personuppgifter inom ramen för verksamhet vid verksamhetsställen i fler än en medlemsstat
  • behandlar personuppgifter vid ett enda verksamhetsställe men som i väsentlig grad påverkar eller sannolikt kommer att påverka registrerade i fler än en medlemsstat.

Ni ska alltså bedöma om de registrerade kommer att påverkas i väsentlig grad av er personuppgiftsbehandling eller om det är troligt att de kommer att påverkas i väsentlig grad. För att kunna avgöra det ska ni väga in vilken typ av uppgifter personuppgiftsbehandlingen omfattar, ändamålet och om den kommer att

  • orsaka skada, förlust eller känslomässigt lidande för enskilda personer
  • påverka den enskilda personen så att personens rättigheter begränsas eller den enskilda personen förlorar en möjlighet
  • påverka den enskilda personens hälsa, välbefinnande eller trygghet
  • påverka den enskilda personens finansiella eller ekonomiska ställning eller situation,
  • utsätta den enskilda personen för diskriminering eller orättvis behandling
  • omfatta analys av känsliga personuppgifter eller andra inkräktande uppgifter, särskilt barns personuppgifter
  • leda till att den registrerade personen ändrar sitt beteende på ett väsentligt sätt
  • leda till osannolika, oväntade eller oönskade konsekvenser för den enskilda personen
  • ge upphov till pinsamma situationer eller andra negativa resultat, även skadat anseende
  • innebär behandling av en stor mängd personuppgifter.


Exempel på gränsöverskridande behandling:

  • Ni har verksamhet både i Sverige och Slovakien och behandlar personuppgifter inom ramen för båda verksamheterna.
  • Ni har endast verksamhet i Sverige men er personuppgiftsbehandling påverkar registrerade i både Sverige och Slovakien.

Som personuppgiftsansvarig eller personuppgiftsbiträde ska ni som huvudregel endast ha kontakt med ett lands tillsynsmyndighet, er så kallade ansvariga tillsynsmyndighet. Om ni exempelvis drabbas av en personuppgiftsincident som påverkar er verksamhet i flera länder ska ni bara anmäla den till er ansvariga tillsynsmyndighet. Den samordnar sedan utredningar som berör andra tillsynsmyndigheter.

Gränsöverskridande personuppgiftsincidenter

Ansvarig tillsynsmyndighet finns där er huvudsakliga verksamhet finns

För att veta vilken tillsynsmyndighet som är ansvarig tillsynsmyndighet måste ni fastställa var er huvudsakliga eller enda del av verksamheten finns.

Om ni är personuppgiftsansvarig finns ert huvudsakliga eller enda verksamhetsställe:

  • där ni har er centrala förvaltning (huvudkontor), om inte besluten om ändamålen och medlen för personuppgiftsbehandlingen fattas vid ett annat verksamhetsställe i unionen och det verksamhetsstället kan få sådana beslut genomförda. I så fall är detta det huvudsakliga verksamhetsstället.

Om ni är personuppgiftsbiträde finns ert huvudsakliga eller enda verksamhetsställe:

  • där ni har er centrala förvaltning (huvudkontor) eller, om ni inte har någon central förvaltning i unionen, det verksamhetsställe i unionen där den huvudsakliga personuppgiftsbehandlingen sker.

Om både personuppgiftsansvariga och personuppgiftsbiträden är involverade i en personuppgiftsbehandling är den personuppgiftsansvariges ansvariga tillsynsmyndighet även ansvarig tillsynsmyndighet för personuppgiftsbiträdet.

Observera även att ni kan ha olika ansvariga tillsynsmyndigheter för olika personuppgiftsbehandlingar om ni bestämmer ändamål och medel för olika personuppgiftsbehandlingar på olika platser inom EU. När ni påbörjar en ny personuppgiftsbehandling är det därför viktigt att ni bedömer vilken tillsynsmyndighet som kommer att vara er ansvariga tillsynsmyndighet.

Fundera över om det är möjligt att låta ett verksamhetsställe fatta beslut om flera olika personuppgiftsbehandlingar. Då slipper ni ha kontakt med flera olika tillsynsmyndigheter för olika personuppgiftsbehandlingar.

Tillsynsmyndigheterna inom EU samarbetar, till exempel när vi hanterar klagomål, granskar personuppgiftsbehandling och gör inspektioner. Om IMY vill granska en personuppgiftsbehandling som utförs inom flera länder inom EU måste vi göra det tillsammans med de andra ländernas tillsynsmyndigheter.

Granskningen av en gränsöverskridande personuppgiftsbehandling leds alltid av ett lands tillsynsmyndighet, den så kallade ansvariga tillsynsmyndigheten, som har kontakt med övriga länders tillsynsmyndigheter. För att de olika ländernas tillsynsmyndigheter ska kunna dela information med varandra på ett effektivt sätt finns ett särskilt it-system för samarbetet.

Ett ärende kan komma att handläggas av en annan tillsynsmyndighet än den ansvariga om frågan i ärendet endast rör verksamhet eller registrerade i en viss medlemsstat. I dessa så kallade lokala ärenden är det upp till den ansvariga tillsynsmyndigheten att avgöra om de vill handlägga ärendet själva eller om de vill överlåta det till tillsynsmyndigheten i den medlemsstat där verksamheten som ärendet rör finns. Du kommer alltid att få information om vilken tillsynsmyndighet som leder handläggningen av ditt ärende.

Så arbetar vi med tillsyn

En personuppgiftsbehandling som har anknytning till flera länder inom EU ska granskas gemensamt av de tillsynsmyndigheter som berörs av den. Eftersom alla länders tillsynsmyndigheter måste få tid att bedöma ärendet kan det ta längre tid att behandla ärenden som handläggs gemensamt av flera länders tillsynsmyndigheter. IMY, eller den tillsynsmyndighet ni vänt er till om ni inte vänt er till oss, kommer att informera er om ifall ärendet handläggs gemensamt av flera länders tillsynsmyndigheter och om hur handläggningen av ärendet går. Om de inblandade tillsynsmyndigheterna inte kommer överens i ett ärende kan de i vissa fall vända sig till Europeiska dataskyddsstyrelse (EDPB) för att få hjälp att avgöra ärendet.

Europeiska dataskyddsstyrelsen (EDPB)

 

Ska ni anmäla en gränsöverskridande personuppgiftsincident?

Då ska ni använda vår e-tjänst.

Anmäl personuppgiftsincident

Rättsinformation

Fördjupa dig
Senast uppdaterad: 9 september 2021
Sidans etiketter Dataskydd